Penggagalan Operasi Spionase Siber Pertama yang Dipimpin AI

 (anthropic.com)
3 poin oleh GN⁺ 2025-11-15 | 2 komentar | Bagikan ke WhatsApp
  • Operasi spionase siber skala besar yang dijalankan langsung oleh model AI terdeteksi dan berhasil dihentikan
  • Penyerang memanipulasi Claude Code untuk menargetkan sekitar 30 institusi global, dan sebagian berhasil ditembus
  • 80~90% proses serangan dilakukan secara otomatis oleh AI, dengan campur tangan manusia yang sangat terbatas
  • Kombinasi kecerdasan, otonomi, dan akses ke alat pada AI membentuk struktur serangan yang sangat canggih
  • Insiden ini menjadi titik balik keamanan siber di era AI, sekaligus menyoroti pentingnya otomasi pertahanan dan berbagi ancaman

Deteksi dan Penggagalan Operasi Spionase Siber Berbasis AI

  • Pada pertengahan September 2025, aktivitas spionase tingkat lanjut terdeteksi, dan hasil investigasi mengonfirmasi bahwa ini adalah kasus AI yang langsung menjalankan serangan
    • Penyerang dinilai sebagai kelompok peretas yang didukung pemerintah Tiongkok
    • Dengan menggunakan Claude Code, mereka menetapkan sekitar 30 target global (perusahaan teknologi besar, lembaga keuangan, produsen kimia, dan lembaga pemerintah) sebagai sasaran infiltrasi
    • Pada sebagian serangan, terjadi kasus intrusi yang benar-benar berhasil
  • Operasi ini tercatat sebagai kasus pertama serangan skala besar yang dijalankan tanpa campur tangan manusia
  • Segera setelah terdeteksi, dilakukan investigasi selama 10 hari disertai pemblokiran akun, pemberitahuan ke organisasi terdampak, dan kerja sama dengan otoritas

Cara Model AI Menjalankan Serangan

  • Serangan ini didasarkan pada tiga kemampuan inti model AI yang berkembang belakangan ini
    1. Intelligence: mampu memahami instruksi kompleks, menangkap konteks, dan menjalankan tugas tingkat lanjut
    2. Agency: mampu melakukan tindakan otonom dan pengambilan keputusan dalam loop berulang
    3. Tools: melalui Model Context Protocol (MCP), dapat melakukan pencarian web, pengumpulan data, dan menjalankan alat keamanan
    Iklan
  • Struktur tiap tahap serangan
    • Tahap 1: manusia memilih organisasi target dan membangun framework serangan otonom
    • Tahap 2: Claude Code ditipu sebagai "karyawan untuk pengujian keamanan siber" sehingga guardrail berhasil dilewati (jailbreak)
    • Tahap 3: Claude melakukan pengintaian terhadap sistem target dan mengidentifikasi database bernilai tinggi
    • Tahap 4: Claude melakukan analisis kerentanan dan menulis kode exploit, mencuri kredensial, mengklasifikasikan data, dan mengekfiltrasi data
    • Tahap 5: Claude mendokumentasikan serangan dan membuat materi untuk operasi lanjutan
  • 80~90% dari seluruh pekerjaan dilakukan oleh AI, sementara manusia hanya terlibat dalam sekitar 4~6 keputusan utama
  • Saat serangan berlangsung, AI menghasilkan beberapa permintaan per detik dan beroperasi pada kecepatan yang mustahil dilakukan manusia
  • Beberapa contoh kesalahan yang muncul antara lain pembuatan kredensial palsu atau salah menafsirkan informasi publik

Dampaknya terhadap Keamanan Siber

  • Hambatan masuk untuk serangan siber tingkat lanjut turun drastis
    • Dengan pengaturan yang tepat, AI dapat menjalankan pekerjaan setara tim peretas berpengalaman dalam jangka waktu panjang
    • Bahkan kelompok penyerang dengan sumber daya terbatas kini memiliki peluang lebih besar untuk menjalankan operasi skala besar
  • Insiden ini berevolusi jauh melampaui kasus "vibe hacking" sebelumnya, dengan campur tangan manusia yang jauh lebih sedikit
  • Kemampuan Claude yang sama tidak hanya penting untuk serangan, tetapi juga esensial untuk pertahanan
    • Dalam proses investigasi nyata, Claude juga digunakan untuk analisis data skala besar
  • Terjadi perubahan mendasar dalam keamanan siber
    • Tim keamanan harus memanfaatkan AI untuk otomasi pertahanan berbasis AI, deteksi ancaman, evaluasi kerentanan, dan respons insiden
    • Pengembang perlu memperkuat pengaman pada platform AI
    • Berbagi intelijen ancaman lintas industri dan peningkatan teknologi deteksi menjadi tugas penting yang wajib dilakukan
    Iklan

Respons Selanjutnya dan Tujuan Publikasi

  • Anthropic memperkuat kemampuan deteksi dan classifier untuk perilaku berbahaya
  • Teknik deteksi serangan terdistribusi skala besar terus dikembangkan
  • Tujuan publikasi kasus ini adalah untuk membantu memperkuat kemampuan pertahanan industri, pemerintah, dan lembaga riset
  • Ke depan, publikasi laporan ancaman berkala dan berbagi informasi secara transparan akan terus dilanjutkan

Informasi Tambahan

  • Menurut naskah asli, kesalahan teknis terkait kecepatan serangan telah diperbaiki, sehingga
    • bukan “ribuan permintaan per detik”, melainkan “menjalankan ribuan permintaan beberapa kali dalam setiap detik
  • Laporan lengkap dipublikasikan dalam bentuk PDF (tautan tersedia)

Bacaan terkait

2 komentar

 
kimjoin2 2025-11-16

Skynet! Skynet!!!
 
GN⁺ 2025-11-15
Opini Hacker News

  • Guardrails AI pada dasarnya hanyalah lapisan perlindungan setipis gembok
    Seberapa pun terlatihnya model, selama informasi bisa diekstrak lewat bahasa, akan selalu ada jalur linguistik untuk melewatinya
    Pada akhirnya, satu-satunya alasan model seperti ini terus dikembangkan adalah uang

    • Mustahil memasang guardrail yang sempurna pada sistem serbaguna
      Ini mengingatkan pada kisah Tiga Hukum Robotika Asimov yang saya baca waktu kecil. Bahkan aturan yang dibuat dengan niat baik pun bisa dilumpuhkan oleh manipulasi manusia yang berniat jahat
      Pada akhirnya, masalahnya bukan robot, melainkan metafora tentang sulitnya alignment manusia itu sendiri
    • Istilah ‘guardrail’ sendiri menyesatkan
      Kenyataannya, itu tidak lebih dari saran sopan, tetapi orang nonteknis terlalu memercayainya
      Kerentanan AI generatif bersifat struktural, dan tidak selesai hanya dengan mengatakan “ada mekanisme pengaman”
    • Tipu daya seperti ini bukan hanya masalah LLM
      Menyamar sebagai “pegawai perusahaan keamanan” untuk mengeksploitasi manusia juga merupakan taktik yang umum
      Hanya saja, pada LLM ingatannya direset di setiap percakapan, jadi serangan seperti ini jauh lebih mudah
    • Ironisnya, orang yang terlalu sederhana justru mungkin lebih mudah menembus guardrail
      Karena mereka tidak berpikir terlalu rumit
    • Guardrail hanyalah pengaman minimum saat menaruh perangkat lunak nondeterministik di internet
      Pada akhirnya, itu cuma mekanisme setingkat UX agar pengguna tidak mengajukan keluhan

  • Ini terlihat seperti pemasaran Anthropic untuk menonjolkan kegunaan AI mereka dalam keamanan siber
    Penjelasan bahwa Claude menyusup data lintas akun terasa tidak masuk akal. Malah terlihat seperti kegagalan keamanan dasar

    • Tulisan Anthropic terasa seperti permintaan maaf orang tua yang berkata, “Anak kami memang memecahkan jendela, tapi dia melempar bolanya sangat cepat!”
    • Kemungkinan besar Claude tidak menyusup kode dari akun lain, melainkan mengaksesnya lewat API publik atau bucket S3
      Artinya, penyerang menipu Claude dengan menyamar sebagai peneliti keamanan white-hat
    • Ini bukan peretasan terhadap Anthropic sendiri, melainkan contoh penggunaan Claude untuk mengotomatisasi alat peretasan standar
    • Sebenarnya PR seperti ini dilakukan semua perusahaan. Tulisan publik selalu membawa pesan yang disengaja
    • Saya juga berpikir begitu. Bagian “mencuri kredensial jauh lebih cepat daripada manusia” terasa seperti bau iklan

  • Semakin pintar AI, pembela harus membangun sistem yang bisa dikonfigurasi seperti NixOS
    Keamanan tiap komponen harus bisa diverifikasi secara independen, dan harus memungkinkan pembuktian sistem yang sedang berjalan di level perangkat keras
    Untuk itu sedang dikembangkan alat otomasi berbasis Nix bernama vibenix

    • Menurut saya yang jauh lebih berbahaya daripada AI yang makin pintar adalah AI yang makin murah
      Karena serangan bisa diotomatisasi dalam skala besar
    • Tetapi kalau sistem menjadi terlalu homogen, satu kerentanan bisa menyebar ke seluruh dunia sekaligus
    • Nix terlalu rumit, jadi butuh waktu terlalu lama untuk menyelesaikan masalah konfigurasi produksi yang nyata
      Bahkan sulit memahami apa sebenarnya yang dilakukan konfigurasi itu
    • Pada akhirnya, mungkin kita harus mengimplementasikan paradoks ke dalam infrastruktur

  • Anthropic kini perlahan mundur dari misi “menyelesaikan masalah alignment”
    Karena alignment pada dasarnya adalah soal penindasan nilai
    Namun “alignment” tetap menjadi poin diferensiasi merek sekaligus slogan untuk menarik investasi

  • Mengejutkan bahwa trik sederhana seperti “kami sedang melakukan pengujian keamanan yang sah” bisa berhasil
    Manusia mungkin tidak akan tertipu oleh ucapan seperti itu, tetapi model tidak mampu membuat penilaian akal sehat

    • Faktanya, manusia juga sering tertipu oleh tipu daya semacam ini
      Karyawan NSO Group pun percaya bahwa mereka sekadar sedang melakukan pekerjaan mereka
    • LLM tidak melakukan verifikasi identitas pengguna. Jika seseorang hanya berkata “saya ini siapa”, model akan langsung percaya
      Memaksa verifikasi identitas bisa memicu kontroversi privasi
    • Menarik kesimpulan adalah hasil dari reasoning, sedangkan LLM hanyalah generator token statistik
      Guardrail cuma perangkat yang ditempelkan di lapisan layanan di luar model
    • Dalam cara berpikir manusia, ada konsep identitas yang melekat, tetapi model tidak punya itu
    • Sebenarnya serangan seperti ini bukan hal baru.
      Data publik seperti pertanyaan terkait keamanan di Stack Overflow sudah dipelajari
      Prompt seperti “kami sedang melakukan uji penetrasi simulasi” saja sudah cukup untuk menipunya

  • Bagian “AI mengirim ribuan permintaan per detik” adalah ungkapan yang dibesar-besarkan
    Pemindai kerentanan web yang sudah ada pun mampu mencapai kecepatan seperti itu
    Batas sebenarnya adalah rate limit server korban dan jumlah rotasi IP

  • Di akhir tulisan, bagian yang mengatakan “karena pengaman Claude sangat kuat, kita harus terus mengembangkannya” terasa lucu
    Padahal tepat sebelumnya ditulis bahwa pengaman itu sepenuhnya berhasil dilewati

    • Sepertinya mereka mengklaim server enterprise bersifat ‘air-gapped’, tetapi secara realistis itu mustahil
      Karena pada akhirnya tetap memakai internet yang sama
      Suatu hari nanti seseorang bisa saja berkata, “data ini kualitasnya bagus, jadi aman dipakai untuk pelatihan, kan?” lalu data perusahaan bocor
      Atau perusahaannya bangkrut dan menjual seluruh datanya
    • Tidak ada bedanya dengan mengatakan, “Gembok kami hebat, hanya saja pencurinya membukanya terlalu mudah”

  • Jika seseorang memakai Claude untuk menangani informasi sensitif, mereka seharusnya khawatir data itu bisa terpapar ke peninjau manusia

    • Menyerahkan data sensitif ke AI yang tidak di-host sendiri pada dasarnya adalah kebocoran yang disengaja
      Orang yang mengambil keputusan seperti itu seharusnya dipecat
    • (Ada juga tanggapan yang mempertanyakan apa hubungan komentar ini dengan artikelnya)

  • Jika guardrail bisa dilewati, maka itu bukan lagi guardrail
    Itu adalah kegagalan desain

    • Tetapi ada yang bilang “namanya justru pas”
      Guardrail hanya mencegah saat orang tidak sengaja keluar jalur,
      bukan menghentikan orang yang sengaja ingin keluar dari jalan

  • Ungkapan “AI melakukan 80~90% serangan” terdengar seperti kebanggaan yang aneh
    Saya paham maksudnya adalah mengotomatisasi pekerjaan yang sebelumnya dilakukan manusia, tetapi itu bukan sesuatu yang patut dibanggakan